RFID系統(tǒng)的安全技術(shù)概論

存在這么幾個問題1、RFID的安全漏洞在哪,有哪些攻擊方式？2、RFID有哪些安全解決方案

？問題探究第一頁，共六十五頁。第九章RFID系統(tǒng)的安全RFID系統(tǒng)是一個開放的無線系統(tǒng)，其安全問題日漸顯著。讀寫器、電子標(biāo)簽和網(wǎng)絡(luò)等各個環(huán)節(jié)數(shù)據(jù)都存在安全隱患，安全與隱私問題已經(jīng)成為制約RFID技術(shù)的主要因素之一。為了防止某些試圖侵入RFID系統(tǒng)而進行的非授權(quán)訪問，或者防止跟蹤、竊取甚至惡意篡改電子標(biāo)簽信息，必須采取措施來保證數(shù)據(jù)的有效性和隱私性，確保數(shù)據(jù)安全性。第二頁，共六十五頁。場景一(1)超市已構(gòu)建RFID系統(tǒng)并實現(xiàn)倉儲管理、出售商品的自動化收費等功能，超市管理者使用的閱讀器可以讀寫商品標(biāo)簽數(shù)據(jù)(寫標(biāo)簽數(shù)據(jù)時需要接人密鑰)，考慮到價格調(diào)整等因素，標(biāo)簽數(shù)據(jù)必須能夠多次讀寫。(2)移動RFID用戶自身攜帶有嵌入在手機或PDA中的閱讀器，該閱讀器可以掃描超市中商品的標(biāo)簽以獲得產(chǎn)品的制造商、生產(chǎn)日期和價格等詳細信息。RFID智能收貨RFID智能購物車RFID智能結(jié)算未來商店第三頁，共六十五頁。(3)通過信道監(jiān)聽信息截獲、暴力破解(利用定向天線和數(shù)字示波器監(jiān)控標(biāo)簽被讀取時的功率消耗，確定標(biāo)簽何時接受了正確的密碼位)或其他人為因素，攻擊者得到寫標(biāo)簽數(shù)據(jù)所需的接人密鑰。(4)利用標(biāo)簽的接人密鑰，攻擊者隨意修改標(biāo)簽數(shù)據(jù)，更改商品價格，甚至“kill”標(biāo)簽導(dǎo)致超市的商品管理和收費系統(tǒng)陷入混亂以謀取個人私利。第四頁，共六十五頁。德州儀器（TI）公司制造了一種稱為數(shù)字簽名收發(fā)器（DigitalSignatureTransponder，DTS）的內(nèi)置加密功能的低頻RFID設(shè)備。DST現(xiàn)已配備在數(shù)以百萬計的汽車上，其功能主要是用于防止車輛被盜。DST同時也被SpeedPass無線付費系統(tǒng)所采用，該系統(tǒng)現(xiàn)用在北美的成千上萬的ExxonMobil加油站內(nèi)。DST執(zhí)行了一個簡單的詢問/應(yīng)答（challenge-response）協(xié)議來進行工作.閱讀器的詢問數(shù)據(jù)C長度為40bits，芯片產(chǎn)生的回應(yīng)數(shù)據(jù)R長度為24bits，而芯片中的密鑰長度亦為40bits。密碼破譯者都知道，40bits的密鑰長度對于現(xiàn)在的標(biāo)準(zhǔn)而言太短了，這個長度對于暴力攻擊法毫無免疫力。2004年末，一隊來自約翰霍普津斯大學(xué)和RSA實驗室的研究人員示范了對DST安全弱點的攻擊。他們成功的完全復(fù)制了DST，這意味著他們破解了含有DST的汽車鑰匙，并且使用它執(zhí)行了相同的功能。場景二第五頁，共六十五頁。在2006年意大利舉行的一次學(xué)術(shù)會議上，就有研究者提出病毒可能感染RFID芯片，通過偽造沃爾瑪、家樂福這樣的超級市場里的RFID電子標(biāo)簽，將正常的電子標(biāo)簽替換成惡意標(biāo)簽，即可進入他們的數(shù)據(jù)庫及IT系統(tǒng)中發(fā)動攻擊。2011年9月，北京公交一卡通被黑客破解，從而敲響了整個RFID行業(yè)的警鐘。黑客通過破解公交一卡通，給自己的一卡通非法充值，獲取非法利益2200元2011年3月，業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲個人信息的新型生物科技護照。2007年RSA安全大會上，一家名為IOActive的公司展示了一款RFID克隆器，這款設(shè)備可以通過復(fù)制信用卡來竊取密碼

場景三……第六頁，共六十五頁。RFID應(yīng)用的隱私泄露問題因此，如何實現(xiàn)RFID系統(tǒng)的安全并保護電子標(biāo)簽持有人隱私將是目前和今后發(fā)展RFID技術(shù)十分關(guān)注的課題。第七頁，共六十五頁。存在這么幾個問題1、RFID為什么會泄露個人隱私的

？2、RFID的安全漏洞在哪,有哪些攻擊方式？3、RFID有哪些安全解決方案

？問題探究第八頁，共六十五頁。9.1RFID系統(tǒng)面臨的安全攻擊RFID系統(tǒng)中的傳輸是基于無線通信方式的，使得傳輸?shù)臄?shù)據(jù)容易被“偷聽”；在RFID系統(tǒng)中，特別是對于電子標(biāo)簽，計算能力和可編程能力都被標(biāo)簽本身的成本所約束，在一個特定的應(yīng)用中，標(biāo)簽的成本越低，其計算能力也就越弱，在安全方面可防止被威脅的能力也就越弱。第九頁，共六十五頁。第十頁，共六十五頁。9.1RFID系統(tǒng)面臨的安全攻擊常見安全攻擊類型1．電子標(biāo)簽數(shù)據(jù)的獲取攻擊由于標(biāo)簽本身的成本所限制，標(biāo)簽本身很難具備保證安全的能力，因此會面臨著許多問題。電子標(biāo)簽通常包含一個帶內(nèi)存的微芯片，電子標(biāo)簽上數(shù)據(jù)的安全和計算機中數(shù)據(jù)的安全都同樣會受到威脅。非法用戶可以利用合法的讀寫器或者自構(gòu)一個讀寫器與電子標(biāo)簽進行通信，可以很容易地獲取標(biāo)簽所存儲的數(shù)據(jù)。這種情況下，未經(jīng)授權(quán)使用者可以像一個合法的讀寫器一樣去讀取電子標(biāo)簽上的數(shù)據(jù)。在可寫標(biāo)簽上，數(shù)據(jù)甚至可能被非法使用者修改甚至刪除。第十一頁，共六十五頁。9.1RFID系統(tǒng)面臨的安全攻擊2．電子標(biāo)簽和讀寫器之間的通信侵入

當(dāng)電子標(biāo)簽向讀寫器傳輸數(shù)據(jù)，或者讀寫器從電子標(biāo)簽上查詢數(shù)據(jù)時，數(shù)據(jù)是通過無線電波在空中傳播的。在這個通信過程中，數(shù)據(jù)容易受到攻擊。這類無線通信易受攻擊的特性包括以下幾個方面：（1）非法讀寫器截獲數(shù)據(jù)：非法讀寫器截取標(biāo)簽傳輸?shù)臄?shù)據(jù)。（2）第三方堵塞數(shù)據(jù)傳輸：非法用戶可以利用某種方式去阻塞數(shù)據(jù)在電子標(biāo)簽和讀寫器之間的正常傳輸。最常用的方法是欺騙，通過很多假的標(biāo)簽響應(yīng)讓讀寫器不能分辨正確的標(biāo)簽響應(yīng)，使得讀寫器過載，無法接收正常標(biāo)簽數(shù)據(jù)，這種方法也叫做拒絕服務(wù)攻擊。（3）偽造標(biāo)簽發(fā)送數(shù)據(jù)：偽造的標(biāo)簽向讀寫器提供虛假數(shù)據(jù)，欺騙RFID系統(tǒng)接收、處理以及執(zhí)行錯誤的電子標(biāo)簽數(shù)據(jù)。第十二頁，共六十五頁。9.1RFID系統(tǒng)面臨的安全攻擊3．侵犯讀寫器內(nèi)部的數(shù)據(jù)

在讀寫器發(fā)送數(shù)據(jù)、清空數(shù)據(jù)或是將數(shù)據(jù)發(fā)送給主機系統(tǒng)之前，都會先將信息存儲在內(nèi)存中，并用它來執(zhí)行某些功能。在這些處理過程中，讀寫器就像其他計算機系統(tǒng)一樣存在安全侵入問題。4．主機系統(tǒng)侵入

電子標(biāo)簽傳出的數(shù)據(jù)，經(jīng)過讀寫器到達主機系統(tǒng)后，將面臨現(xiàn)存主機系統(tǒng)的RFID數(shù)據(jù)的安全侵入問題?？蓞⒖加嬎銠C或網(wǎng)絡(luò)安全方面相關(guān)的文獻資料。

第十三頁，共六十五頁。9.1RFID系統(tǒng)面臨的安全攻擊由于目前RFID的主要應(yīng)用領(lǐng)域?qū)﹄[私性的要求不高，因此對于安全、隱私問題的注意力還比較少。然而，RFID這種應(yīng)用面很廣的技術(shù)，具有巨大的潛在破壞能力，如果不能很好地解決RFID系統(tǒng)的安全問題，隨著物聯(lián)網(wǎng)應(yīng)用的擴展，未來遍布全球各地的RFID系統(tǒng)安全可能會像現(xiàn)在的網(wǎng)絡(luò)安全難題一樣考驗人們的智慧。第十四頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案RFID的安全和隱私保護與成本之間是相互制約的。例如，根據(jù)自動識別（Auto-ID）中心的試驗數(shù)據(jù)，在設(shè)計5美分標(biāo)簽時，集成電路芯片的成本不應(yīng)該超過2美分，這使集成電路門電路數(shù)量只能限制在7.5k～15k范圍內(nèi)。一個96?bits的EPC芯片需要5k～10k的門電路，因此用于安全和隱私保護的門電路數(shù)量不能超過2.5?k～5?k，這樣的限制使得現(xiàn)有密碼技術(shù)難以應(yīng)用。優(yōu)秀的RFID安全技術(shù)解決方案應(yīng)該是平衡安全、隱私保護與成本的最佳方案。現(xiàn)有的RFID系統(tǒng)安全技術(shù)可以分為兩大類：（1）一類是通過物理方法阻止標(biāo)簽與讀寫器之間通信；（2）一類是通過邏輯方法增加標(biāo)簽安全機制。第十五頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案物理方法RFID安全的物理方法有殺死（Kill）標(biāo)簽、法拉第網(wǎng)罩、主動干擾、阻止標(biāo)簽等。

殺死（Kill）標(biāo)簽的原理是使標(biāo)簽喪失功能，從而阻止對標(biāo)簽及其攜帶物的跟蹤。如EPCClass1Gen2標(biāo)簽。但是，Kill命令使標(biāo)簽失去了本身應(yīng)有的優(yōu)點，如商品在賣出后，標(biāo)簽上的信息將不再可用，但這樣不便于之后用戶對產(chǎn)品信息的進一步了解以及相應(yīng)的售后服務(wù)。另外，若Kill識別序列號（PIN）一旦泄漏，可能導(dǎo)致惡意者對商品的偷盜。法拉第網(wǎng)罩（FaradayCage）的原理是根據(jù)電磁場理論，由傳導(dǎo)材料構(gòu)成的容器如法拉第網(wǎng)罩可以屏蔽無線電波，使得外部的無線電信號不能進入法拉第網(wǎng)罩，反之亦然。把標(biāo)簽放進由傳導(dǎo)材料構(gòu)成的容器可以阻止標(biāo)簽被掃描，即被動標(biāo)簽接收不到信號。第十六頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案物理方法

主動干擾無線電信號是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶可以通過一個設(shè)備主動廣播無線電信號用于阻止或破壞附近的讀寫器的操作。但這種方法可能導(dǎo)致非法干擾，使附近其他合法的RFID系統(tǒng)受到干擾，嚴(yán)重時可能阻斷附近其他無線系統(tǒng)。

阻止標(biāo)簽的原理是通過采用一個特殊的阻止標(biāo)簽干擾的防碰撞算法來實現(xiàn)的，讀寫器讀取命令每次總獲得相同的應(yīng)答數(shù)據(jù)，從而保護標(biāo)簽。第十七頁，共六十五頁。綜上，物理安全機制存在很大的局限性，往往需要附加額外的輔助設(shè)備，這不但增加了額外的成本，還存在其他缺陷。如Kill命令對標(biāo)簽的破壞性是不可逆的；某些有RFID標(biāo)簽的物品不便置于法拉第籠中等。9.2RFID系統(tǒng)安全解決方案第十八頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案邏輯方法在RFID安全技術(shù)中，常用邏輯方法有哈希（Hash）鎖方案隨機Hash鎖方案Hash鏈方案匿名ID方案重加密方案

……

在諸多的基于密碼技術(shù)的安全機制中，基于hash函數(shù)的RFID安全協(xié)議的設(shè)計備受關(guān)注。因為，無論是從安全需求來講，還是從低成本的RFID標(biāo)簽的硬件執(zhí)行上來講，hash函數(shù)都是最適合于RFID認證協(xié)議的。第十九頁，共六十五頁。哈希(Hash)鎖

Hash鎖是一種更完善的抵制標(biāo)簽未授權(quán)訪問的安全與隱私技術(shù)。整個方案只需要采用Hash函數(shù)，因此成本很低。Hash函數(shù)的特點：②給定x，計算h(x)容易，但給定h(x)，求x計算上不可行；③對于任意x，找到一個y，且y≠x使得h(x)=h(y)，計算上是不可行的；同時，發(fā)現(xiàn)一對(x，y)使得h(x)=h(y)，計算上也是不可行的。①給定函數(shù)h及安全參數(shù)k，輸入為任意長度二進制串，輸出為k位二進制串，記為9.2RFID系統(tǒng)安全解決方案第二十頁，共六十五頁。安全協(xié)議執(zhí)行步驟：①標(biāo)簽T進入閱讀器R的有效范圍，接收到閱讀器R發(fā)出的仲裁命令Query。②標(biāo)簽T通過反向信道發(fā)送metalID作為回復(fù)。③閱讀器R將metalID傳送給后臺數(shù)據(jù)庫B，數(shù)據(jù)庫查詢是否存在相等的metalID值，若匹配則發(fā)送相應(yīng)的標(biāo)簽信息(key,ID)給閱讀器R。④閱讀器僅將其中的key’發(fā)送給標(biāo)簽。標(biāo)簽驗證key’是否等于key。⑤若key’＝key則標(biāo)簽將其ID發(fā)送給閱讀器。第二十一頁，共六十五頁。

鎖定標(biāo)簽：對于唯一標(biāo)志號為ID的標(biāo)簽，首先閱讀器隨機產(chǎn)生該標(biāo)簽的Key，計算metaID=Hash(Key)，將metaID發(fā)送給標(biāo)簽；標(biāo)簽將metaID存儲下來，進入鎖定狀態(tài)。閱讀器將(metaID，Key，ID)存儲到后臺數(shù)據(jù)庫中，并以metaID為索引。9.2RFID系統(tǒng)安全解決方案第二十二頁，共六十五頁。

解鎖標(biāo)簽：閱讀器詢問標(biāo)簽時，標(biāo)簽回答metaID；閱讀器查詢后臺數(shù)據(jù)庫，找到對應(yīng)的(metaID，Key，ID)記錄，然后將該Key值發(fā)送給標(biāo)簽；標(biāo)簽收到Key值后，計算Hash(Key)值，并與自身存儲的metaID值比較，若Hash(Key)=metaID，標(biāo)簽將其ID發(fā)送給閱讀器，這時標(biāo)簽進入已解鎖狀態(tài)，并為附近的閱讀器開放所有的功能。第二十三頁，共六十五頁。方法的優(yōu)點：解密單向Hash函數(shù)是較困難的，因此該方法可以阻止未授權(quán)的閱讀器讀取標(biāo)簽信息數(shù)據(jù)，在一定程度上為標(biāo)簽提供隱私保護；該方法只需在標(biāo)簽上實現(xiàn)一個Hash函數(shù)的計算，以及增加存儲metaID值，因此在低成本的標(biāo)簽上容易實現(xiàn)。方法的缺陷：由于每次詢問時標(biāo)簽回答的數(shù)據(jù)是特定的，因此其不能防止位置跟蹤攻擊；閱讀器和標(biāo)簽問傳輸?shù)臄?shù)據(jù)未經(jīng)加密，竊聽者可以輕易地獲得標(biāo)簽Key和ID值。9.2RFID系統(tǒng)安全解決方案第二十四頁，共六十五頁。注：常用的Hash算法硬件開銷是比較大的，例如SHA-1算法大概需要20000個等效門電路來實現(xiàn)，完全不適用于低成本的RFID標(biāo)簽。但是Yüksel提出了一個低成本的64位Hash函數(shù)，只需要1700個等效門便可實現(xiàn)。9.2RFID系統(tǒng)安全解決方案第二十五頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案2．隨機Hash鎖

作為Hash鎖的擴展，隨機Hash鎖解決了標(biāo)簽位置隱私問題。采用隨機Hash鎖方案，讀寫器每次訪問標(biāo)簽的輸出信息不同。隨機Hash鎖原理是標(biāo)簽包含Hash函數(shù)和隨機數(shù)發(fā)生器，后臺服務(wù)器數(shù)據(jù)庫存儲所有標(biāo)簽ID。讀寫器請求訪問標(biāo)簽，標(biāo)簽接收到訪問請求后，由Hash函數(shù)計算標(biāo)簽ID與隨機數(shù)r的Hash值。標(biāo)簽再發(fā)送數(shù)據(jù)給請求的閱讀器，同時讀寫器發(fā)送給后臺服務(wù)器數(shù)據(jù)庫，后臺服務(wù)器數(shù)據(jù)庫窮舉搜索所有標(biāo)簽ID和r的Hash值，判斷是否為對應(yīng)標(biāo)簽ID，標(biāo)簽接收到讀寫器發(fā)送的ID后解鎖。

第二十六頁，共六十五頁。2．隨機Hash鎖

鎖定標(biāo)簽：向未鎖定標(biāo)簽發(fā)送鎖定指令，即可鎖定該標(biāo)簽。

解鎖標(biāo)簽：讀寫器向標(biāo)簽ID發(fā)出詢問，標(biāo)簽產(chǎn)生一個隨機數(shù)R，計算Hash（ID||R），并將（R，Hash(ID||R)）數(shù)據(jù)傳輸給讀寫器；讀寫器收到數(shù)據(jù)后，從后臺數(shù)據(jù)庫取得所有的標(biāo)簽ID值，分別計算各個Hash（ID||R）值，并與收到的Hash（ID||R）比較，若Hash（IDk||R）=Hash（ID||R），則向標(biāo)簽發(fā)送IDk；若標(biāo)簽收到IDk=ID，此時標(biāo)簽解鎖。第二十七頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案隨機Hash鎖方案的缺點：（1）盡管Hash函數(shù)可以在低成本情況下完成，但要集成隨機數(shù)發(fā)生器到計算能力有限的低成本被動標(biāo)簽上卻很困難。（2）隨機Hash鎖僅解決了標(biāo)簽位置隱私問題，一旦標(biāo)簽的秘密信息被截獲，隱私侵犯者可以獲得訪問控制權(quán)，通過信息回溯得到標(biāo)簽歷史記錄，推斷標(biāo)簽持有者隱私。（3）后臺服務(wù)器數(shù)據(jù)庫的解碼操作通過窮舉搜索，標(biāo)簽數(shù)目很多時，系統(tǒng)延時會很長，效率并不高。第二十八頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案3．Hash鏈為了解決可跟蹤性，標(biāo)簽使用了Hash函數(shù)在每次讀寫器訪問后自動更新標(biāo)識符的方案，實現(xiàn)前向安全性。

Hash鏈原理是標(biāo)簽在存儲器中設(shè)置一個隨機的初始化標(biāo)識符S1，這個標(biāo)識符也存儲到后臺數(shù)據(jù)庫。標(biāo)簽包含兩個Hash函數(shù)G和H。當(dāng)讀寫器請求訪問標(biāo)簽時，標(biāo)簽返回當(dāng)前標(biāo)簽標(biāo)識符ak=G(Sk)給讀寫器，標(biāo)簽從電磁場獲得能量時自動更新標(biāo)識符Sk+1=H(Sk)。Hash鏈工作機制如圖所示。第二十九頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案3．Hash鏈鎖定標(biāo)簽：對于標(biāo)簽ID，讀寫器隨機選取一個數(shù)S1發(fā)送給標(biāo)簽，并將（ID，S1）存儲到后臺數(shù)據(jù)庫中，標(biāo)簽存儲接收到S1后便進入鎖定狀態(tài)。解鎖標(biāo)簽：在第i次事務(wù)交換中，讀寫器向標(biāo)簽發(fā)出詢問消息，標(biāo)簽輸出ai=Gi，并更新Si+1=H(Si)，其中G和H為單向Hash函數(shù)。讀寫器收到ai后，搜索數(shù)據(jù)庫中所有的（ID，S1）數(shù)據(jù)對，并為每個標(biāo)簽遞歸計算ai=G(H(Si?1))，比較是否等于ai，若相等，則返回相應(yīng)的ID。該方法使得隱私侵犯者無法獲得標(biāo)簽活動的歷史信息，但不適合標(biāo)簽數(shù)目較多的情況。第三十頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案3．Hash鏈優(yōu)缺點分析在Hash鏈協(xié)議中，標(biāo)簽是一個具有自主ID更新能力的標(biāo)簽，這使得前向安全性問題得到了解決；Hash鏈協(xié)議只能對標(biāo)簽身份進行認證；容易受到重傳和假冒攻擊；標(biāo)簽每次認證后，后臺數(shù)據(jù)庫都要對每一個標(biāo)簽進行i次雜湊運算；該協(xié)議需要兩個不同的hash函數(shù)，增加了標(biāo)簽的制造成本。第三十一頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案4．匿名ID方案

匿名ID方案采用匿名ID，在消息傳輸過程中，隱私侵犯者即使截獲標(biāo)簽信息也不能獲得標(biāo)簽的真實ID。該方案采用公鑰加密、私鑰加密或者添加隨機數(shù)生成匿名標(biāo)簽ID。雖然標(biāo)簽信息只需要采用隨機讀取存儲器（RAM）存儲，成本較低，但數(shù)據(jù)加密裝置與高級加密算法都將導(dǎo)致系統(tǒng)的成本增加。因為標(biāo)簽ID加密以后仍具有固定輸出，因此，使得標(biāo)簽的跟蹤成為可能，存在標(biāo)簽位置隱私問題。并且，該方案的實施前提是讀寫器與后臺服務(wù)器的通信建立在可信任的通道上。第三十二頁，共六十五頁。9.2RFID系統(tǒng)安全解決方案5.重加密方案

重加密方案采用公鑰加密。標(biāo)簽可以在用戶請求下通過第三方數(shù)據(jù)加密裝置定期對標(biāo)簽數(shù)據(jù)進行重寫。因為采用公鑰加密，大量的計算負載將超出標(biāo)簽的能力，因此這個過程通常由讀寫器處理。該方案存在的最大缺陷是標(biāo)簽的數(shù)據(jù)必須經(jīng)常重寫，否則，即使加密標(biāo)簽ID固定的輸出也將導(dǎo)致標(biāo)簽定位隱私泄漏。與匿名ID方案相似，標(biāo)簽數(shù)據(jù)加密裝置與公鑰加密將導(dǎo)致系統(tǒng)成本的增加，使得大規(guī)模的應(yīng)用受到限制，且經(jīng)常重復(fù)加密操作也給實際操作帶來困難。第三十三頁，共六十五頁。沒有任何一種單一的手段可以徹底保證RFID系統(tǒng)的應(yīng)用安全。實際上往往需要采用綜合性的解決方案。當(dāng)然，安全又是相對的，不存在絕對安全的標(biāo)簽，安全措施的級別(破解的難易程度、隨時間地點的變化等)會視應(yīng)用不同而改變。在實施和部署RFID應(yīng)用系統(tǒng)之前，有必要進行充分的業(yè)務(wù)安全評估和風(fēng)險分析，綜合的解決方案需要考慮成本和收益之間的關(guān)系。9.2RFID系統(tǒng)安全解決方案第三十四頁，共六十五頁。9.3智能卡的安全問題本書深入介紹智能卡原理的基礎(chǔ)上，著眼于智能卡安全內(nèi)容，逐層描述了安全攻擊、安全目標(biāo)、安全算法、安全機制和安全規(guī)范等內(nèi)容；然后介紹智能卡系統(tǒng)設(shè)計，包括低層設(shè)計、應(yīng)用設(shè)計等內(nèi)容；最后給出了智能卡未來發(fā)展的趨勢。本書附有大量的研發(fā)實例。

第三十五頁，共六十五頁。9.3智能卡的安全問題影響智能卡安全的基本問題根據(jù)各種對智能卡攻擊所采用的手段和攻擊對象的不同，一般可以歸納為以下三種方式:（1）使用偽造的智能卡，以期進入某一系統(tǒng)。模擬智能卡與接口設(shè)備之間的信息，使接口設(shè)備無法判斷出是合法的還是偽造的智能卡。例如，像制造偽鈔那樣直接制造偽卡；對智能卡的個人化過程進行攻擊；在交易過程中替換智能卡等。（2）冒用他人遺失的，或是使用盜竊所得的智能卡。試圖冒充別的合法用戶進入系統(tǒng)，對系統(tǒng)進行實質(zhì)上未經(jīng)授權(quán)的訪問。（3）主動攻擊方式。直接對智能卡與外部通信時所交換的信息流（包括數(shù)據(jù)和控制信息）進行截聽、修改等非法攻擊，以謀取非法利益或破壞系統(tǒng)。第三十六頁，共六十五頁。9.3智能卡的安全問題物理安全用于實施物理攻擊的主要方法包括以下三種:（1）微探針技術(shù)：攻擊者通常使用專業(yè)手段去除芯片的各層金屬，在去除芯片封裝后，通過使用亞微米級微探針獲取感興趣的信號，從而分析出智能卡的有關(guān)設(shè)計信息和存儲結(jié)構(gòu)，甚至直接讀取出存儲器的信息進行分析。（2）版圖重構(gòu)：利用特制顯微鏡研究電路的連接模式，跟蹤金屬連線穿越可見模塊（如ROM、RAM等）的邊界，可以迅速識別芯片上的一些基本結(jié)構(gòu)，如數(shù)據(jù)線和地址線。（3）聚離子束（FIB）技術(shù)：采用鎵粒子束攻擊芯片表面，在不破壞芯片表面電路結(jié)構(gòu)的情況下，用含有不同氣體的粒子束，可在芯片上沉積出導(dǎo)線、絕緣體甚至半導(dǎo)體。這種方法可重新連接測試電路的熔斷絲，或?qū)⒍鄬有酒猩畈貎?nèi)部的信號連到芯片的表面，或加粗加強無法置放探針的導(dǎo)線，從而形成一個“探針臺”。第三十七頁，共六十五頁。9.3智能卡的安全問題物理攻擊是實現(xiàn)成功探測的強有力手段，但其缺點在于入侵式的攻擊模式，智能卡在物理安全方面一些措施如下：（1）在制造過程中使用特定的復(fù)雜昂貴的生產(chǎn)設(shè)備，同時制造人員需具備專業(yè)知識技能，以增加偽造的難度，甚至使之不能實現(xiàn)。（2）對智能卡在制造和發(fā)行過程中所使用的一切參數(shù)嚴(yán)格保密。（3）增強智能卡在包裝上的完整性。給存儲器加上若干保護層，把處理器和存儲器做在智能卡內(nèi)部的芯片上。選用一定的特殊材料防止非法對存儲器內(nèi)容進行直接分析。（4）在智能卡的內(nèi)部安裝監(jiān)控程序，以防止外界對處理器/存儲器數(shù)據(jù)總線及地址總線的截聽。（5）對智能卡的制造和發(fā)行的整個工序加以分析。確保沒人能完整地掌握智能卡的制造和發(fā)行過程，在一定程度上防止內(nèi)部職員的非法行為。第三十八頁，共六十五頁。9.3智能卡的安全問題邏輯安全邏輯攻擊者在軟件的執(zhí)行過程中插入竊聽程序，利用這些缺陷誘騙智能卡泄漏機密數(shù)據(jù)或允許非期望的數(shù)據(jù)修改。攻擊者只需具備智能卡、讀寫器和PC即可；其另一優(yōu)點在于非入侵式的攻擊模式以及可輕松地復(fù)制。智能卡的邏輯安全主要由下列的途徑實現(xiàn)。第三十九頁，共六十五頁。9.3智能卡的安全問題1．鑒別與核實鑒別與核實：鑒別與核實其實是兩個不同的概念，但是它們二者在所實現(xiàn)的功能十分相似.鑒別（Authentication）是對智能卡（或者是讀寫設(shè)備）的合法性的驗證，即如何判定一張智能卡（或讀寫設(shè)備）不是偽造的卡（或讀寫設(shè)備）的問題；

核實（Verify）是指對智能卡的持有者的合法性進行驗證，也就是如何判定一個持卡人是否經(jīng)過了合法的授權(quán)的問題。

由此可見，二者實質(zhì)都是對合法性的一種驗證，但是，在具體的實現(xiàn)方式上，由于二者所要驗證的對象的不同，所采用的手段也就不盡相同。

第四十頁，共六十五頁。9.3智能卡的安全問題鑒別是通過智能卡和讀寫設(shè)備雙方同時對任意一個相同的隨機數(shù)進行某種相同的加密運算（目前常用DES算法），然后判斷雙方運算結(jié)果的一致性來達到驗證的目的。以智能卡作為參照點，分為外部鑒別和內(nèi)部鑒別。外部鑒別就是智能卡對讀寫設(shè)備的合法性進行的驗證。先由讀寫器向智能卡發(fā)一串口令（產(chǎn)生隨機數(shù)）命令，智能卡產(chǎn)生一個隨機數(shù)，然后由讀寫器對隨機數(shù)加密成密文，密鑰預(yù)先存放在讀寫器和IC卡中，密鑰的層次則要按需要設(shè)定。讀寫器將密文與外部鑒別命令發(fā)送給IC卡，卡執(zhí)行命令時將密文解密成明文，并將明文和原隨機數(shù)相比較，若相同則卡承認讀寫器是真的，否則卡認為讀寫器是偽造的。內(nèi)部鑒別就是讀寫設(shè)備對智能卡的合法性進行的驗證，原理與IC卡鑒別讀寫器的真?zhèn)蜗嗨?，但使用?nèi)部鑒別命令，解密后的結(jié)果與隨機數(shù)進行比較的操作應(yīng)在讀寫器中進行，而不是由IC卡來鑒別真?zhèn)?。第四十一頁，共六十五頁。三次認證過程外部鑒別注：該協(xié)議在認證過程中，屬于同一應(yīng)用的所有標(biāo)簽和閱讀器共享同一的加密密鑰。由于同一應(yīng)用的所有標(biāo)簽都使用唯一的加密密鑰，所有三次認證協(xié)議具有安全隱患。42第四十二頁，共六十五頁。第四十三頁，共六十五頁。射頻識別中的認證技術(shù)三次認證過程閱讀器發(fā)送查詢口令的命令給應(yīng)答器，應(yīng)答器作為應(yīng)答響應(yīng)傳送所產(chǎn)生的一個隨機數(shù)RB給閱讀器。閱讀器產(chǎn)生一個隨機數(shù)RA，使用共享的密鑰K和共同的加密算法EK，算出加密數(shù)據(jù)塊TOKENAB，并將TOKENAB傳送給應(yīng)答器。TOKENAB＝EK(RA,RB)應(yīng)答器接受到TOKENAB后，進行解密，將取得的隨機數(shù)與原先發(fā)送的隨機數(shù)RB進行比較，若一致，則閱讀器獲得了應(yīng)答器的確認。應(yīng)答器發(fā)送另一個加密數(shù)據(jù)塊TOKENBA給閱讀器，TOKENBA為TOKENBA＝EK(RB1,RA)閱讀器接收到TOKENBA并對其解密，若收到的隨機數(shù)與原先發(fā)送的隨機數(shù)RA相同，則完成了閱讀器對應(yīng)答器的認證。44第四十四頁，共六十五頁。例如：Mifare卡，采用三次認證協(xié)議，其密鑰為6字節(jié)，即48位，一次典型的驗證需要6ms，如果外部使用暴力破解的話，需要的時間為一個非常大的數(shù)字，常規(guī)破解手段將無能為力。第四十五頁，共六十五頁。9.3智能卡的安全問題核實是通過用戶向智能卡出示僅有他本人知道的通行字，并由智能卡對該通行字的正確性進行判斷來達到驗證的目的。在通行字的傳輸過程中，有時還可對要傳輸?shù)男畔⑦M行加/解密運算，這一過程通常也稱為通行字鑒別。用得最多的是通過驗證用戶個人識別號（PIN）來確認使用卡的用戶是不是合法持卡人。驗證過程如圖所示，持卡人利用讀寫設(shè)備向智能卡提供PIN，智能卡把它和事先存儲在卡內(nèi)的PIN相比較，比較結(jié)果在以后訪問存儲器和執(zhí)行指令時可作為參考，用來判斷是否可以訪問或者執(zhí)行。第四十六頁，共六十五頁。9.3智能卡的安全問題2.智能卡的通信安全與保密智能卡通過鑒別與核實可防止偽卡的使用，防止非法用戶的入侵，但無法防止在信息交換過程中發(fā)生的竊聽。在通信方面對信息的修改主要包括：對信息內(nèi)容進行更改、刪除及添加、改變信息的源點或目的點、改變信息組/項的順序等。

保密性主要是利用密碼技術(shù)對信息進行加密處理，以掩蓋真實信息，使之變得不可理解，達到保密的目的。智能卡系統(tǒng)中常用的兩種密碼算法：對稱密鑰密碼算法或數(shù)據(jù)加密算法（DES）和非對稱密鑰密碼算法或公共密鑰密碼算法（RSA）。智能卡經(jīng)常采用DES算法,因為該算法已被證明十分成功，且運算復(fù)雜度相對也較小.第四十七頁，共六十五頁。①數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）DES由IBM公司1975年研究成功并發(fā)表，1977年被美國定為聯(lián)邦信息標(biāo)準(zhǔn)。DES使用一個56位的密鑰以及附加的8位奇偶校驗位，將64位的明文經(jīng)加密算法變換為64位的密文。加密和解密共用同一算法，使工程實現(xiàn)的工作量減半。綜合運用了置換、代替、代數(shù)等多種密碼技術(shù)。

48第四十八頁，共六十五頁。DES加密算法Li=Ri-1Ri＝Li-1⊕f(Ri-1,Ki)從左圖可知

i=1,2,3,…1649第四十九頁，共六十五頁。矩陣58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157

作用:把64位明文打亂重排。左一半為L0(左32位)，右一半為R0(右32位)。例：把輸入的第1位置換到第40位，把輸入的第58位置換到第1位。初始置換IP第五十頁，共六十五頁。②3重DES3DES是DES加密數(shù)據(jù)的一種模式，它使用3條56位的密鑰對數(shù)據(jù)進行三次加密。第五十一頁，共六十五頁。③高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard，AES）

高級加密標(biāo)準(zhǔn)由美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）于2001年11月26日發(fā)布于FIPSPUB197，并在2002年5月26日成為有效的標(biāo)準(zhǔn)。2006年，高級加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一。

AES是分組加密算法，分組長度為128位，密鑰長度有128位、192位、256位三種，分別稱為AES-128，AES-192，AES-256。目前尚未存在對AES的完整攻擊的算法52第五十二頁，共六十五頁。AES基本要求：比3重DES快至少與3重DES一樣安全數(shù)據(jù)長度為128bit密鑰長度為128/192/256bit設(shè)計原則：能抵抗所有已知的攻擊；在各種平臺上易于實現(xiàn)，速度快；設(shè)計簡單。第五十三頁，共六十五頁。注1：國際上，世界領(lǐng)先的嵌入式RFID閱讀器供應(yīng)商SkyeTek，于2006年初發(fā)布了高頻和超高頻RFID領(lǐng)域最先進的保護數(shù)據(jù)完整性及私密性的安全技術(shù)也即目前全球各地政府，金融，互聯(lián)網(wǎng)應(yīng)用等領(lǐng)域證實，迄今為止前景最好的密碼技術(shù)—由NIST提出的AES密碼算法，SkyeTek已于2006年將這種安全技術(shù)引入嵌入式RFID閱讀器。據(jù)最近科技查新報告顯示:在國內(nèi)，還沒有企業(yè)或是實驗室將AES算法應(yīng)用在射頻識別系統(tǒng)中，而對于AES密碼芯片的研究很多也只是處于實驗室研究階段。注2：在應(yīng)用方面，盡管DES在安全上是脆弱的，但由于快速DES芯片的大量生產(chǎn)，使得DES仍能暫時繼續(xù)使用，為提高安全強度，通常使用獨立密鑰的三級DES。但是DES遲早要被AES代替。

AES第五十四頁，共六十五頁。

標(biāo)準(zhǔn)的高級加密算法(AES)大概需要20000-30000個等效門電路來實現(xiàn)。但Feldhofer等人提出了一個128位的AES算法只需要3600個等效門（和256bit的RAM）實現(xiàn)。該算法是迄今為止已知的最低成本的AES方案。第五十五頁，共六十五頁。④RSA算法

MIT三位年青數(shù)學(xué)家R.L.Rivest，A.Shamir和L.Adleman等發(fā)現(xiàn)了一種用數(shù)論構(gòu)造雙鑰的方法，稱作MIT體制，后來被廣泛稱之為RSA體制。它既可用于加密、又可用于數(shù)字簽字。RSA算法的安全性基于數(shù)論中大整數(shù)分解的困難性。即要求得兩個大素數(shù)的乘積是容易的，但要分解一個合數(shù)為兩個大素數(shù)的乘積，則在計算上幾乎是不可能的。密鑰長度應(yīng)該介于1024bit到2048bit之間RSA-129歷時8個月被于1996年4月被成功分解，RSA－130于1996年4月被成功分解，RSA-140于1999年2月被成功分解，RSA-155于1999年8月被成功分解。DES和RSA兩種算法各有優(yōu)缺點：DES算法處理速度快，而RSA算法速度慢很多；DES密鑰分配困難，而RSA簡單；DES適合用于加密信息內(nèi)容比較長的場合，而RSA適合用于信息保密非常重要的場合。56第五十六頁，共六十五頁。⑤橢圓曲線密碼體制（ECC）

橢圓曲線 Weierstrass方程y2+a1xy+a3y=x3+a2x2+a4x+a657第五十七頁，共六十五頁。橢圓曲線的基本ElGamal加解密方案加密算法：首先把明文m表示為橢園曲線上的一個點M，然后再加上KQ進行加密，其中K是隨機選擇的正整數(shù)，Q是接收者的公鑰。發(fā)方將密文c1=KP和c2=M+KQ發(fā)給接收方。解密算法：接收方用自己的私鑰計算dc1=d(KP)=K(dP)=KQ

恢復(fù)出明文點M為M=c2-KQ

58第五十八頁，共六十五頁。RSA算法的特點之一是數(shù)學(xué)原理簡單，在工程應(yīng)用中比較易于實現(xiàn)，但它的單位安全強度相對較低，用目前最有效的攻擊方法去破譯RSA算法，其破譯或求解難度是亞指數(shù)級。ECC算法的數(shù)學(xué)理論深奧復(fù)雜，在工程應(yīng)用中比較困難，但它的安全強度比較高，其破譯或求解難度基本上是指數(shù)級的。這意味著對于達到期望的安全強度，ECC可以使用較RSA更短的密鑰長度。ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA相比要小得多，因此

ECC在智能卡中已獲得相應(yīng)的應(yīng)用，可不采用協(xié)處理器而在微控制器中實現(xiàn)，而在RFID中的應(yīng)用尚需時日。

59第五十九頁，共六十五頁。9.3智能卡的安全問題3．存儲區(qū)域保護

把智能卡的數(shù)據(jù)存儲器劃分成若干個區(qū)，對每個區(qū)都設(shè)定各自的訪問條件；只有在符合設(shè)定條件的情況下，才允許對相應(yīng)的數(shù)據(jù)存儲區(qū)域進行訪問。下表為一金融智能卡的存儲區(qū)域保護措施。存儲區(qū)域確認發(fā)行密碼以后確認PIN以后確認PIN以前存放數(shù)據(jù)讀寫讀寫讀寫條件1區(qū)00XXXX加密密鑰條件2區(qū)XXOOXX交易數(shù)據(jù)條件3區(qū)OOOXXX戶頭名、存取權(quán)限條件4區(qū)OOOXOX用戶姓名、住址第六十頁，共六十五頁。9.3智能卡的安全問題3．存儲區(qū)域保護如上表所示，O為允許，X為不允許，發(fā)行密碼用來驗證發(fā)行者的身份，PIN用來驗證持卡人的身份。通過對存儲區(qū)域的劃分，普通數(shù)據(jù)和重要數(shù)據(jù)被有效地分離，各自接受不同程度的條件保護，相應(yīng)地提高了邏輯安全的強度。對存儲區(qū)的訪問控制，本書已經(jīng)介紹了一